Stai visualizzando la documentazione archiviata di Service Mesh v1.20.

Versioni disponibili

Cloud Service Mesh più recente
Archivio Cloud Service Mesh 1.28
Archivio Cloud Service Mesh 1.27
Archivio Cloud Service Mesh 1.26
Archivio Cloud Service Mesh 1.25
Archivio Cloud Service Mesh 1.24
Archivio Cloud Service Mesh 1.23
Archivio Cloud Service Mesh 1.22
Archivio Cloud Service Mesh 1.21
Archivio Cloud Service Mesh 1.20
Archivio Anthos Service Mesh 1.19

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Prerequisiti di Cloud Service Mesh

Questa pagina descrive i prerequisiti e i requisiti per l'installazione di Cloud Service Mesh, come la licenza GKE Enterprise, i requisiti dei cluster, i requisiti dei parchi risorse e i requisiti generali.

Progetto cloud

Prima di iniziare:

Seleziona o crea un progetto Google Cloud.
Verifica che la fatturazione sia attivata per il tuo progetto.

Licenza GKE Enterprise

GKE

Cloud Service Mesh è disponibile con GKE Enterprise o come servizio autonomo. Le API di Google vengono utilizzate per determinare la modalità di fatturazione. Per utilizzare Cloud Service Mesh come servizio autonomo, non abilitare l'API GKE Enterprise nel tuo progetto. asmcli abilita tutte le altre API di Google richieste. Per informazioni sui prezzi di Cloud Service Mesh, consulta la pagina Prezzi.

Se hai un abbonamento a GKE Enterprise, assicurati di abilitare l'API GKE Enterprise.

Abilitare l'API

Se non hai un abbonamento a GKE Enterprise, puoi comunque installare Cloud Service Mesh, ma alcuni elementi dell'interfaccia utente e funzionalità della Google Cloud console sono disponibili solo per gli abbonati a GKE Enterprise. Per informazioni su ciò che è disponibile per gli abbonati e i non abbonati, consulta Differenze dell'interfaccia utente di GKE Enterprise e Cloud Service Mesh.
Se hai abilitato l'API GKE Enterprise, ma vuoi utilizzare Cloud Service Mesh come servizio autonomo, disabilita l'API GKE Enterprise.

Al di fuori di Google Cloud

Per installare Cloud Service Mesh on-premise, su GKE su AWS, su Amazon EKS o su Microsoft AKS, devi essere un cliente GKE Enterprise. Ai clienti GKE Enterprise, Cloud Service Mesh non viene fatturato separatamente perché è già incluso nei prezzi di GKE Enterprise. Per ulteriori informazioni, consulta la guida ai prezzi di GKE Enterprise.

Requisiti generali

Per essere incluse nel mesh di servizi, le porte di servizio devono essere denominate e il nome deve includere il protocollo della porta con la seguente sintassi: name: protocol[-suffix] dove le parentesi quadre indicano un suffisso facoltativo che deve iniziare con un trattino. Per ulteriori informazioni, consulta Denominazione delle porte di servizio.
Se hai creato un perimetro di servizio nella tua organizzazione, potresti dover aggiungere il servizio dell'autorità di certificazione Cloud Service Mesh al perimetro. Per ulteriori informazioni, consulta Aggiungere l'autorità di certificazione Cloud Service Mesh a un perimetro di servizio.
Se vuoi modificare i limiti delle risorse predefiniti per il container sidecar istio-proxy, i nuovi valori devono essere maggiori di quelli predefiniti per evitare eventi di esaurimento della memoria (OOM).
Un Google Cloud progetto può avere un solo mesh associato.

Requisiti per i cluster

GKE

Verifica che la versione del cluster sia elencata in Piattaforme supportate.
Il cluster GKE deve soddisfare i seguenti requisiti:
- Il cluster GKE deve essere Standard. I cluster Autopilot sono supportati solo con Cloud Service Mesh gestito.
- Un tipo di macchina con almeno 4 vCPU, ad esempio e2-standard-4. Se il tipo di macchina del cluster non ha almeno 4 vCPU, modificalo come descritto in Eseguire la migrazione dei carichi di lavoro a tipi di macchine diversi.
- Il numero minimo di nodi dipende dal tipo di macchina. Cloud Service Mesh richiede almeno 8 vCPU. Se il tipo di macchina ha 4 vCPU, il cluster deve avere almeno 2 nodi. Se il tipo di macchina ha 8 vCPU, il cluster ha bisogno di un solo nodo. Se devi aggiungere nodi, consulta Ridimensionare un cluster.
La Workload Identity GKE è obbligatoria. Ti consigliamo di abilitare la Workload Identity prima di installare Cloud Service Mesh. L'abilitazione della Workload Identity modifica il modo in cui le chiamate dai carichi di lavoro alle API di Google vengono protette, come descritto in Limitazioni della Workload Identity. Tieni presente che non devi abilitare il server metadati GKE su pool di nodi esistenti.
Facoltativo, ma consigliato, registra il cluster in un canale di rilascio. Ti consigliamo di registrarti al canale di rilascio Regolare perché altri canali potrebbero essere basati su una versione GKE non supportata da Cloud Service Mesh 1.28.5. Per ulteriori informazioni, consulta Piattaforme supportate. Se hai una versione GKE statica, segui le istruzioni riportate in Registrare un cluster esistente in un canale di rilascio.
Se stai installando Cloud Service Mesh su un cluster privato, devi aprire la porta 15017 nel firewall per far funzionare i webhook utilizzati per l'inserimento automatico di sidecar e la convalida della configurazione. Per ulteriori informazioni, consulta Apertura di una porta su un cluster privato.
Assicurati che il computer client da cui installi Cloud Service Mesh abbia la connettività di rete al server API.
Cloud Service Mesh non è supportato per i carichi di lavoro Windows Server. Se il cluster ha pool di nodi Linux e Windows Server, puoi comunque installare Cloud Service Mesh e utilizzarlo sui carichi di lavoro Linux.

Dopo aver eseguito il provisioning di Cloud Service Mesh, devi contattare l'assistenza prima di avviare la rotazione degli indirizzi IP o la rotazione delle credenziali dei certificati.

Al di fuori di GKE Google Cloud

Assicurati che il cluster utente su cui installi Cloud Service Mesh abbia almeno 4 vCPU, 15 GB di memoria e 4 nodi.
Verifica che la versione del cluster sia elencata in Piattaforme supportate.
Assicurati che il computer client da cui installi Cloud Service Mesh abbia la connettività di rete al server API.
Se esegui il deployment di sidecar nei pod delle applicazioni in cui non è disponibile la connettività diretta ai servizi CA (come meshca.googleapis.com e privateca.googleapis.com), devi configurare un proxy HTTPS esplicito basato su CONNECT.
Per i cluster pubblici con regole firewall di uscita impostate che bloccano le regole implicite, assicurati di aver configurato le regole HTTP/HTTPS e DNS per raggiungere le API di Google pubbliche.

Requisiti dei parchi risorse

Con Cloud Service Mesh 1.11 e versioni successive, tutti i cluster devono essere registrati in un parco risorse e la Workload Identity del parco risorse deve essere abilitata. Puoi configurare i cluster autonomamente oppure lasciare che asmcli li registri, a condizione che soddisfino i seguenti requisiti:

GKE: (si applica a Cloud Service Mesh in-cluster e gestito) Abilita la Workload Identity GKE nel cluster Google Kubernetes Engine, se non è già abilitata. Inoltre, devi registrare il cluster utilizzando la Workload Identity del parco risorse.
Cluster GKE al di fuori di Google Cloud Google Cloud: (si applica a Cloud Service Mesh in-cluster) Google Distributed Cloud, Google Distributed Cloud, GKE su AWS e GKE su Azure vengono registrati automaticamente nel parco risorse del progetto al momento della creazione del cluster. A partire da GKE Enterprise 1.8, tutti questi tipi di cluster abilitano automaticamente la Workload Identity del parco risorse al momento della registrazione. I cluster registrati esistenti vengono aggiornati per utilizzare la Workload Identity del parco risorse quando vengono sottoposti all'upgrade a GKE Enterprise 1.8.
Cluster Amazon EKS: (si applica a Cloud Service Mesh in-cluster) Il cluster deve avere un provider di identità OIDC IAM pubblico. Segui le istruzioni riportate in Creare un provider OIDC IAM per il cluster per verificare se esiste un provider e, se necessario, crearne uno.

Quando esegui asmcli install, devi specificare l'ID progetto del progetto host del parco risorse. asmcli registra il cluster se non è già registrato.